JVNDB-2009-006521
|
TestLink におけるクロスサイトスクリプティングの脆弱性
|
|
TestLink は、lib/functions/database.class.php に関する処理に不備があるため、クロスサイトスクリプティングの脆弱性が存在します。
|
|
CVSS v2 による深刻度
基本値: 3.5 (注意) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 単一
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
|
TestLink Development Team
|
|
|
以下の影響を受ける可能性があります。
(1) 第三者により、login.php への req パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性
(2) リモート認証されたユーザにより、lib/general/staticPage.php への key パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性
(3) リモート認証されたユーザにより、lib/attachments/attachmentupload.php への tableName パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性
(4) リモート認証されたユーザにより、lib/events/eventviewer.php への startDate パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性
(5) リモート認証されたユーザにより、lib/events/eventviewer.php への endDate パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性
(6) リモート認証されたユーザにより、lib/events/eventviewer.php への logLevel パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性
(7) リモート認証されたユーザにより、lib/results/resultsMoreBuilds_buildReport.php への search_notes_string パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性
(8) リモート認証されたユーザにより、lib/testcases/searchData.php への find アクションの expected_results パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性
(9) リモート認証されたユーザにより、lib/testcases/searchData.php への find アクションの name パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性
(10) リモート認証されたユーザにより、lib/testcases/searchData.php への find アクションの steps パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性
(11) リモート認証されたユーザにより、lib/testcases/searchData.php への find アクションの summary パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性
|
|
ベンダ情報および参考情報を参照して適切な対策を実施してください。
|
|
TestLink Development Team
|
|
- クロスサイトスクリプティング(CWE-79) [NVD評価]
|
|
- CVE-2009-4237
|
|
- National Vulnerability Database (NVD) : CVE-2009-4237
|
|
|
